使用 CLI 和 PowerShell 来安装 Microsoft Entra 预配代理

本文介绍如何使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理。

先决条件

Windows 服务器必须启用 TLS 1.2，然后你才能使用 PowerShell cmdlet 来安装 Microsoft Entra 预配代理。 若要启用 TLS 1.2，请按照 Microsoft Entra 云同步的先决条件中的步骤操作。

使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理

1. 至少以混合身份管理员的身份登录到Microsoft Entra 管理中心。

2. 浏览到 Entra ID>Entra Connect>云同步。

   

3. 选择“管理”。
4. 选择“下载预配代理”
5. 在右侧，选择“接受条款并下载”。
6. 为了进行这些说明，该代理已下载到 C:\temp 文件夹。
7. 在静默模式下安装预配代理。

   $installerProcess = Start-Process 'c:\temp\AADConnectProvisioningAgentSetup.exe' /quiet -NoNewWindow -PassThru 
   $installerProcess.WaitForExit()
   
   

8. 导入预配代理 PS 模块。

   Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.PowerShell.dll" 
   

9. 使用具有混合标识角色的帐户连接到 Microsoft Entra ID。 可以自定义本部分，以便从某个安全存储中提取密码。

   $hybridAdminPassword = ConvertTo-SecureString -String "Hybrid Identity Administrator password" -AsPlainText -Force 
   
   $hybridAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("HybridIDAdmin@contoso.onmicrosoft.com", $hybridAdminPassword) 
   
   Connect-AADCloudSyncAzureAD -Credential $hybridAdminCreds 
   

10. 添加 gMSA 帐户，并提供域管理员的凭据，以创建默认的 gMSA 帐户。

    $domainAdminPassword = ConvertTo-SecureString -String "Domain admin password" -AsPlainText -Force 
    
    $domainAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("DomainName\DomainAdminAccountName", $domainAdminPassword) 
    
    Add-AADCloudSyncGMSA -Credential $domainAdminCreds 
    

11. 或使用前面的 cmdlet 来提供一个已经预创建的 gMSA 帐户。

    Add-AADCloudSyncGMSA -CustomGMSAName preCreatedGMSAName$ 
    

12. 添加域。

    $contosoDomainAdminPassword = ConvertTo-SecureString -String "Domain admin password" -AsPlainText -Force 
    
    $contosoDomainAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("DomainName\DomainAdminAccountName", $contosoDomainAdminPassword) 
    
    Add-AADCloudSyncADDomain -DomainName contoso.com -Credential $contosoDomainAdminCreds 
    

13. 或者使用前一个 cmdlet 来配置首选域控制器。

    $preferredDCs = @("PreferredDC1", "PreferredDC2", "PreferredDC3") 
    
    Add-AADCloudSyncADDomain -DomainName contoso.com -Credential $contosoDomainAdminCreds -PreferredDomainControllers $preferredDCs 
    

14. 若要添加更多域，可重复上一步。 分别提供这些域的帐户名称和域名。
15. 重启服务。

    Restart-Service -Name AADConnectProvisioningAgent  
    

16. 若要创建云同步配置，请转到 Microsoft Entra 管理中心。

预配代理 gMSA PowerShell cmdlet

安装代理后，可以向 gMSA 应用更精细的权限。 有关如何配置权限的信息和分步说明，请参阅 Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet。

针对美国政府云安装

默认情况下，Microsoft Entra 预配代理会针对默认的 Azure 云环境进行安装。 如果是为了在美国政府云中使用而安装该代理，请执行以下操作：

• 在步骤 #8 中，将 ENVIRONMENTNAME=AzureUSGovernment 添加到命令行，如下例所示。

  $installerProcess = Start-Process -FilePath "c:\temp\AADConnectProvisioningAgent.Installer.exe" -ArgumentList "/quiet ENVIRONMENTNAME=AzureUSGovernment" -NoNewWindow -PassThru 
  $installerProcess.WaitForExit()
  

后续步骤

• 什么是预配？
• Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet
• 什么是 Microsoft Entra Cloud Sync？